作者:hacker发布时间:2022-07-14分类:黑客技术浏览:222评论:3
第五名:TCPDump(网络类)
根据白帽子黑客抓包工具的使用率,将TCPdump排在第五的位置。
TCPdump
TCPdump功能很强大,能够搞到所有层的数据。Linux作为路由器和网关这种网络服务器时,就少不了数据的采集、分析工作。而TCPdump恰好是一种功能强大的网络数据采集分析工具。
简单来说就是,可以根据用户的定义来截获网络上数据包的包分析工具。
TCPdump的功能和截取策略,捕获了高级系统管理员的芳心,成为其分析和排除问题的一种必备工具。
第四名:Wireshark(网络类)
Wireshark(前称Ethereal)是一个网络封包分析软件,是最流行的一种图形化的抓包工具,而且在Windows、Mac、Linux等三种系统中都有合适的版本。
Wireshark
Wireshark可以被用来检测网络问题、资讯安全问题、学习网络协定相关的知识,或者为新的通讯协定除错。它是白帽子黑客、网络管理员、安全工作人员的必备工具之一。
第三名:HttpWatch(Web报文)
HttpWatch在IE浏览器的工具栏中,是功能比较强大的一种网页数据分析工具,而且能够收集显示较为深层的信息。
它不依赖于代理服务器、网络监控工具,就可以将网页和网页请求信息、日志信息同时显示。另外,它还可以显示一些交换信息。
fiddler
第二名:Fiddler(web报文)
Fiddler是白帽子黑客最经常使用的,是可以进行http协议调试的一种web报文渗透工具。
它可以记录电脑联网的所有通讯,可以查看所有“出入”Fiddler的cookie, html, js, css等数据。并且优点是使用起来非常简单。
第一名:BurpSuite (web 报文)
BurpSuite是现在Web安全渗透的必备工具。
它是一个集成平台,平台中汇集了可以用来攻击web应用的工具,这些工具有很多接口,共享一个扩展性比较强的框架。
【前言】某天在家里访问某电商网站首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到电商网站,心里第一个反应就是中木马了。竟然有这样的事,一定要把木马大卸八块。【原因排查】首先在重现的情况下抓包,电商网站确实返回了一段JavaScript让浏览器跳转到了yiqifa;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。这两个HTTP响应包,必然一真一假。快揭示真相了。再来看看两个HTTP响应的IP头。第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时该电商服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。至此,确认是链路上的劫持。更多链路劫持攻击的信息可以先看看笔者之前写的文章《链路劫持攻击一二三》。【攻击方式】继续分析伪造的数据包。伪造包的TTL值是252,也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了,一般不会修改),也就表明攻击者的设备离我隔了3个路由;而正常的该电商网站的HTTP响应TTL值是56,隔了8个路由。物理上假的设备离我近,所以伪造的HTTP响应会先到——比较有意思的是,笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。推测是一个旁路设备侦听所有的数据包,发现请电商网站首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站,于是就访问了下易迅、淘宝、天猫这些电商网站,结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟,通过返利联盟获得当前用户成交金额的返利。基本确认运营商有问题,但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。【攻击源定位】来看看当时的路由结果:如果按初始TTL值为255来算,HTTP包到达本机后为252,推算出经过了3(255-252)个路由,出问题的地方就在第4个路由附近,也就是这里的119的关键字重新访问主页的情况;再比如某些设备的HTTP阻断会向服务器发特定的RST包(我见过发IP Id为8888的案例)。防护方面,这个案例只是伪造数据包,并没有实施阻断,所以只要客户端的安全软件把疑似出问题的包(一次TCP会话中TTL值相差很大或者IPId突然跳变)拦截就可以防御。为了避免误杀,可以拦截并休眠1秒,如果没有同样的数据包过来再放行。有自己客户端的可以走自己的私有协议,网站类就困难一些,部署HTTPS吧。百度主页近期就使用了HTTPS,不过大部分用户还是不习惯在浏览器里输“https://”,所以还是存在被劫持的风险(类似的工具有SSLStrip)。当然了,对抗也会随之升级的,比如这次发现的GMail证书伪造事件。在HTTPS尚不能大规模普及的情况下,是否可以给用户或者终端软件提供一个规避链路劫持的安全服务呢?似乎是可以的。下图是笔者构想的一个简单的通过本地代理软件加云服务的方式规避不安全ADSL链路的解决方案。一些浏览器的云加速也客观上实现了这个功能。对于安全性不确定的公共WiFi,也可以用类似的方法来规避风险。【后记】希望本文对你有帮助。在链路劫持防护这件事上,腾讯欢迎与业界讨论甚至合作。
Cisco Packet Tracerf里的数据包是无法被抓出来的,因为只是cisco出的一个仿真软件,模拟cisco的命令字符没有真实的数据走。要抓包只能用GNS3、Dynagen或都基于Dynamips的模拟器才行!只有这类模拟器才能跑真正cisco的IOS(cisco 的操作系统)。希望能帮到你
标签:wireshark黑客
已有3位网友发表了看法:
访客 评论于 2022-07-15 00:16:18 回复
就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了,一般不会修改),也就表明攻击者的设备离我隔了3个路由;而正常的该电商网站的HTTP响应TTL值是56,隔了8个路由。物理上假的设备离我近,所以伪造的HTTP响应会先到——比较有意思的
访客 评论于 2022-07-15 03:15:30 回复
揭示真相了。再来看看两个HTTP响应的IP头。第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时该电商服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。至此,确认是链路上的劫持。
访客 评论于 2022-07-15 07:13:13 回复
示真相了。再来看看两个HTTP响应的IP头。第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时该电商服务器的TTL值是56,故可以判断先到的包是伪造的,